Domain-Controller

域控制器事件日誌中提到的“票證選項”是什麼?

  • December 11, 2014

我正在嘗試從我的域控制器註銷此事件日誌中找出票證選項所指的內容。它是對 kerberos 身份驗證請求的響應。

AgentDevice=WindowsLog
AgentLogFile=Security
PluginVersion=7.1.3.613248
Source=Security
Computer=DOMAINCONTROLLERHOSTNAME
User=SYSTEM
Domain=NT AUTHORITY
EventID=672
EventIDCode=672
EventType=8
EventCategory=9
RecordNumber=95767528
TimeGenerated=1418246782
TimeWritten=1418246782
Level=0
Keywords=0
Task=0
Opcode=0
Message=Authentication Ticket 
Request:
  User Name:  1234567
  Supplied Realm Name: MYREALM.COM
  User ID:   DOMAIN\1234567
  Service Name:  krbtgt
  Service ID:  MAPLE\krbtgt
  Ticket Options:  0x50800000   <-------------
  Result Code:  -
  Ticket Encryption Type: 0x17
  Pre-Authentication Type: 2
  Client Address:  10.12.32.12
  Certificate Issuer Name:
  Certificate Serial Number: 
  Certificate Thumbprint:

我似乎找不到任何關於它的文件。有任何想法嗎?

RFC 4120在第 74 和 75 頁有你的答案。它寫道:

kdc-options 此欄位出現在對 KDC 的 KRB_AS_REQ 和 KRB_TGS_REQ 請求中,並指示客戶端希望在票證上設置的標誌以及要修改 KDC 行為的其他資訊。在適當的情況下,選項的名稱可能與該選項設置的標誌相同。雖然在大多數情況下,options 欄位中的位將與 flags 欄位中的位相同,但這並不能保證,因此簡單地將 options 欄位複製到 flags 欄位是不可接受的。無論如何,在兌現選項之前必須進行各種檢查。

kdc_options 欄位是一個位欄位,其中選擇的選項由設置的位 (1) 指示,未選擇的選項和保留的欄位被重置 (0)。

接下來是可用選項的列表。RFC 中還有其他資訊建議舊標準不支持某些選項等。

引用自:https://serverfault.com/questions/650691